《入侵检测的网络安全》由会员分享,可在线阅读,更多相关《入侵检测的网络安全(8页珍藏版)》请在金锄头文库上搜索。
1、-Hi-DRA: 入侵检测的网络平安入侵检测系统监视计算机网络查找恶意操作的证据。 网络是复杂的系统,一个全面入侵检测解决方案能应付不同内容、 速度、 抽象级别和可性的数据流。 因此,有必要分散入侵检测传感器到多个受保护网络、当网络的平安状况改变时能及时管理他们的配置并处理其分析结果,以便可向管理员提供高级的网络平安状况的蓝图。 本文为高速的 wans 环境提出了Hi-DRA系统,一个具有网络监控、 分析和响应功能的系统。该系统为异构、 高速环境中入侵检测传感器的模块化开展提供了一个框架。 此外,系统提供了一个支持传感器与其结果的收集和解释动态配置的根底构造。 系统作为一个整体能够提供精细跨w
2、an监控,同时也能够关联不同的传感器分析的结果到对一个平安性冲突的高层次的描述中。 关键字 警报相关,异常检测,计算机平安,入侵检测, 误用检测,网络平安,平安。 一、 导言这几年网络已经变得更大,更快,与高度动态。 特别是因特网,在全球*围内的 TCP/IP 网络,已经成为政府、 公司、 金融机构和数以百万计的用户的一个关键根底设施。 在全国*围内提供任务关键型效劳的大规模根底设施通常由中央国家机构管理(至少也是管制)。美国国家电网就是一个例子。 与此相反,其建立的互联网是一种由公司、 机构以及不同的有时有相互冲突目标的政府子系统自主管理组成的网络。 因此,关键任务网络必须存在,并在一个不受
3、信任的异构环境中交互操作。 此模型说明网络根底构造的保护必须依靠本地的监测以及全球协调和控制。 本地监测解决保护护卫领域的问题,主要采取主动型平安措施,广泛的监测和实时响应。 但本地的保障并不够。 蠕虫和分布式的拒绝效劳 (DoS) 攻击显示根底设施未来的威胁将涉及众多的护卫领域,使其成为受害人或不愿合作者。 因此,有必要创立一个全国*围内的平安根底架构,以加强来自不同的子系统的平安相关的信息的相关性,以获取根底构造平安状况的全局视图,并用以增强中央或分布式控制站的指挥和控制能力。 分析并重新配置控件网络的平安状况的能力特别重要,尤其是根底设施受到作为一个整体的攻击,如同网络恐惧主义的例子。
4、在这种情况下,能够集成来自网络不同局部的信息以协调对策,并尽可能反攻是重要的。 不幸的是,网络监测和监控的现有方法实在有限。 当前技术网络监控与入侵检测不能应付日益增加的网络速度的主要方面是端到端的攻击。 监视和监测工具不能动态配置以实时响应新的威胁和关注度的变化。 监测执行不考虑受保护的网络的特点,例如拓扑和部署效劳。 没有大型的协调和控制的根底设施,使人们能得到关联监测平安报告并在受保护的网络中对该类型和级别的监测进展控制。 在加利福尼亚大学Santa Barbara(UCSB),我们高速广域网开发的网络监测、 分析和反响系统将会抑制这些限制。在高速 wan 的情况下,我们在称之为Hi-D
5、RA高速 WAN 检测、 响应和分析的系统中提供了增强监测、 分析和反响的能力。 Hi-DRA 的体系构造如图一所示。 这个数字代表三个受保护的网络由Hi-DRA 监测组件配置并通过Hi-DRA 广域通信和控制根底构造连接。 受保护的网络被命名为digi., univ.edu和devel.gov。网络监测工具监测网络以devel.gov为代表,它通过一个高速图中粗黑线连接到互联网即在椭圆形的数字中心。该的通信分为分份,分配给专用。在每个环节设置了网络传感器进展网络分析。对分割和分配网络流量分析,网络传感器任务的过程在第二节中做了介绍。除了监测网络上行通信的传感器, devel.gov网络是既基
6、于主机又基于网络的传感器。这些传感器是可配置的,可监视监控的,其特征在第三节详细说明。这两种配置的传感器和通信分割算法密切针对受保护的网络。这可能由网络模型的局部组成。这个组件包含重要的有关网络平安保护的信息。该模型的构造和网络发现验证工具介绍详见1。该模型的一个实例是通过一个网络工具集的组合的手段完成的。所收集的资料是作为一个系统用于配置和定制的根底。此外,同样的工具可以用来验证网络的实际配置模型中存储的信息。这个过程使平安管理员在受保护的网络管理信息系统中确认错误的配置和可能的漏洞。最后,监察显示器是本地到每个受保护的网络是通过高科技DRA的广域通信和控制根底设施,这是在锡耶纳系统的协调2
7、。每个网络通过聚集组件连接到根底设施图中以六边形表示。消息然后由一些相互关联的协调效劳器通过互联网椭圆形的网际网路内的圆圈管理,该互联网使用Siena实现一个可扩展和生存的通信根底设施。这些根底设施,也是使用一个或多个全球指挥和监控器,它们收到来自该保护网络的警报,执行高级别情况分析和决定行动方案,并发送控制消息使用的根底设施保护网络。由于空间的限制,我们只重点介绍少数Hi-DRA 的组件。 因此,我们会限制我们的讲述为:我们用以应付高速网络的分区技术、 我们提供高度可配置传感器的传感器网络方法和我们的入侵检测警告关联方法。 本文的其余局部的构造,如下所示。 第二局部概述了我们的分区高速网络处
8、理方法。 第三局部讨论我们的管理和控制高度可配置的网络和基于主机的传感器传感器网络方法。 第四局部概述相关进程的组件,并讨论实现此过程的工具。 第五局部提供了相关的工作。 最后,第六局部得出结论,并概括了今后的工作。 II.监测高速基于网络的入侵检测系统 (NIDSs) 对窃听网络链路上获得的数据包执行平安分析。 网络速度和吞吐量不断增加会给这些系统带来新的挑战。 当前基于网络的入侵检测系统很少能在饱和的快速以太网 (100 Mb/s上进展实时通信分析 3。 网络技术向前开展,千兆 以太网(1000 Mb/s) 已成为大型网络安装的事实标准。 为了保护这些装置,使用一种基于网络的入侵检测新方法
9、来管理不断增长的数据量成为需要。 网络的速度快过处理器的速度,因此集中的解决方案已到达自己的限量。考虑深入、 有状态的入侵检测分析尤其如此。 在这种情况下传感器要维护进程中 (如:在多级攻击的情况下) 有关攻击的信息,或他们要执行数据包内容的应用级分析。 这些任务占用大量资源,并在单节点的设置可能会严重干扰检索来自网络的根本任务的数据包。 为实现能够执行深入有状态的分析,有必要将通信分成较小的局部,可以彻底地被入侵检测传感器分析。这种方法经常被高性能研究协会提出,作为一种以在多个节点之间分发效劳负载的方法。 与标准负载平衡相反,入侵检测的通信分割已经以保证所有所有威胁情况检测的方式执行。 如果
10、使用通信的随机分组,则传感器可能不会收到足够的数据来检测入侵,因为攻击的不同局部的表现形式可能已分配给不同的切片。 因此,当一个攻击由多个步骤组成的情况下,切片的机制必须确保所有这些步骤可能会触发的数据包发送到配置为该特定攻击的检测传感器。 A.高速的入侵检测的切片方法仅当一个可扩展的解决方案可用时,在高速网络中的入侵检测分析的问题可能受到有效地攻击。 考虑到监控网络链路上的通信是双向流的链路层帧 (例如,以太网帧。 此流包含太多将由一个集中的实体实时处理的数据,并必须分割成几个较小的流,送入一批不同的分布式传感器。 每个传感器仅负责所检测到的入侵方案的一个子集,并且可以实时处理传入数据。 不
11、过,分成流要做的方式是给每个传感器提供足够的信息来检测它运行时会看到的一个网络上直接一样的攻击。 B.要求总体目标是在高速网络中执行状态性的入侵检测分析。 该方法以以下要求为特点。 系统必须在签名代表与一连串的网络事件匹配的攻击场景中实现误用检测方法。 入侵检测必须由一组检测传感器执行,每个传感器负责检测子集的签名。 每个传感器必须是自主而且必须不与其它传感器进展交互。 系统必须将已分析的事件流按可管理性的大小划分片。 必须分析每个通信切片的入侵检测传感器的子集。 系统必须保证通信的分区包含检测的所有指定的攻击方案。 这意味着传感器、 签名和交通切片必须配置,以便每个传感器具有通信检测签名所需
12、的权限已分配给它。 可以将组件添加到该系统,以到达更高的吞吐量。 更确切地说,这种方法必须产生一个可扩展的设计,其中一个可以根据需要来为网络吞吐量添加匹配的组件。 C.系统体系构造在上一节中列出的要求都已用于我们基于网络的入侵检测系统的设计的根底。 该系统包括网络分路器、 通信散射、 一组m个通信切片机S0,Sm-1、 一个开关、 一组n个流再聚合器R0,Rn-1,和一组p个入侵检测传感器R0,Rp-1。 体系构造的高级别说明如图 2 所示。 网络分路器组件监视高速链路上的通信流。 其任务是提取在线路上在一段时间可以见到的链路层帧的序列Ff0,f1,ft。 这一系列帧被传递给该散射,该散射划分
13、F成m后继Fj:0 j m。 每个Fj包含帧序列的子集F可能为空)。 每一帧fi是元素Fj的一个子序列,并因此。 散射可以使用任何分区F的算法。 此后,假定散射算法简单循环将分配到的循环方式 m系列上,赋值fi给。 这样一来,每个Fj包含一个总的 mth通信量。 每个子序列Fj被传输到一个不同的交通切片器Sj。 交通切片器的任务是按路线发送他们接收的帧到需要他们检测攻击的传感器。 因为帧路由可能是复杂的需要大量的时间,而在散射不得不跟上高行车量,只能执行很少的处理每个框架的目标不被执行此任务。 交通 slicers 连接到允许将发送给一个或多个输出通道的框架的一个切片器的开关组件。 由表示帧发
14、送到频道的一组。 每个通道是与流 reassembler 组件和大量的入侵检测传感器相关联。 传感器与通道关联的一组由表示。 一个通道与相关联的所有传感器都能够该通道上发送的所有数据包。 使用此方法时可能出现的问题是两个数据包的原始顺序可能丧失,如果两个帧将不同路径接收到同一通道不同 slicers。 因此,每个通道与关联的 reassemblers 确保包出现在他们出现高速链路上的一样顺序的通道上。 也就是每个 reassembler 必须确保为每个帧,对之前。 不同攻击方案与相关传感器中的每个组件。 每个攻击情况下有一个相关联的事件空间。 事件空间指定哪些帧候选人成为攻击的表现的一局部。
15、例如考虑针对名格鲁吉亚受入侵检测系统在网络中的 Web 效劳器的攻击。 在这种情况下事件空间为该攻击由涉及端口 80 的所有 TCP 通信的主机格鲁吉亚。 事件空间都可以表示为 disjunctions 的条文,也就是,其中每个子句是该类型的表达式。 表示从框架 例如,框架头的一局部 派生的值时指定一个算术的 relation(e.g.,)。 可以是常量、 一个的变量的值来自同一帧。 条文及事件空间可能会自动从该攻击说明,例如从派生签名如 Bro 4、 Sutekh 5、 6,STATL 或 Snort 7 攻击语言编写的。 D.路由框架事件空间是用来路由到不同的通道帧 slicers 筛选器
16、定义的根底。 这些筛选器由撰写与活动一个特定的通道的所有方案相关联的事件空间决定。 更准确的活动方案组是所在的方案的一组而传感器通道上的数量。 析取操作的所有的活动方案的事件空间对应于所有条款的所有活动的方案或通道的活动场地。 结果整个表达式是筛选器每个切片器用来确定一个框架是否可以被路由到该特定的通道。 请注意,可能*些帧多个方案所需。 因此,它将对多个通道发送。 slicers 上文所述的配置是静态的 ; 就是计算是脱机启动系统之前。 静态方法患,取决交通的类型的网络数据包的很大一局部能转发到单个通道的可能性。 这将导致一个重载的附加到该通道的传感器。 静态配置,也使得预测传感器所需应付千兆位链路确实切数量。 每个传感器上的负载取决于使用的情况和实际的交通。 在 s
